Le package ImageMagick, qui est souvent utilisé par les développeurs Web pour convertir des images, présente une vulnérabilité CVE-2022-44268, qui peut entraîner une fuite du contenu du fichier si des images PNG préparées par un attaquant sont converties à l'aide d'ImageMagick. La vulnérabilité affecte les systèmes qui traitent des images externes et permettent ensuite de charger les résultats de la conversion.
La vulnérabilité est due au fait que lorsque ImageMagick traite une image PNG, il utilise le contenu du paramètre « profile » du bloc de métadonnées pour déterminer le nom du fichier de profil, qui est inclus dans le fichier résultant. Ainsi, pour une attaque, il suffit d'ajouter le paramètre « profile » avec le chemin de fichier requis à l'image PNG (par exemple, « /etc/passwd ») et lors du traitement d'une telle image, par exemple lors du redimensionnement de l'image , le contenu du fichier requis sera inclus dans le fichier de sortie . Si vous spécifiez "-" au lieu d'un nom de fichier, le gestionnaire se bloquera en attendant l'entrée du flux standard, ce qui peut être utilisé pour provoquer un déni de service (CVE-2022-44267).
Une mise à jour pour corriger la vulnérabilité n'a pas encore été publiée, mais les développeurs d'ImageMagick ont recommandé, comme solution de contournement pour bloquer la fuite, de créer une règle dans les paramètres qui restreint l'accès à certains chemins de fichiers. Par exemple, pour refuser l'accès via des chemins absolus et relatifs, vous pouvez ajouter ce qui suit au fichier Policy.xml :
Un script permettant de générer des images PNG exploitant cette vulnérabilité est déjà disponible publiquement.
Source: opennet.ru